วิธีใช้ CloudTrail: ข้อมูลใน AWS หายไปต้องทำอย่างไร?

สามารถตรวจสอบ Event history ผ่าน Cloudtrail เพื่อดูประวัติการใช้งานข้อมูลบนAWS

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

ปัญหาที่เกิดขึ้น

บริษัทมีการรันแอพพลิเคชั่นผ่าน ECS ไว้อยู่แต่วันก่อนมีการติดต่อว่าใช้งานแอพลิเคชั่นไม่ได้ หลังจากตรวจสอบดูปรากฎว่า ECS clusterได้หายไปแล้ว ลองตรวจสอบประวัติผ่าน aws config ก็เป็นข้อมูลที่ไม่รองรับอีก

แล้วต้องทำอย่างไร

ใช้ cloud trailในการตรวจสอบ event history

Viewing events with CloudTrail Event history

บนหน้า console cloudtrail จะแสดงข้อมูลการดำเนินการต่างๆ และ เหตุการณ์ด้านความปลอดภัย เรียกว่า "Event history" ซึ่งสามารถใช้อ้างอิงในการตรวจสอบเกี่ยวกับ การสร้าง,เปลี่ยน หรือ แม้กระทั่งการลบข้อมูลในแต่ละ Regionของ AWS accountนั้นๆได้ (ตัวอย่างเช่น IAM User หรือ EC2 เป็นต้น)

cloudtrail เป็นบริการที่รวบรวมข้อมูล event ที่มีการเก็บประวัติจาก aws cli หรือ aws management console และอีกหลายๆบริการ โดยหลังจากสร้าง AWS account แล้วจะมีผลโดยอัตโนมัติ และไม่ใช่เพียงการดำเนินการจากผู้ใช้งานเท่านั้น แต่ยังรวมไปถึงการจัดการต่างๆใน lambda เองก็มีการเก็บข้อมูลด้วยเช่นกัน ซึ่งมีประโยชน์อย่างมากสำหรับใช้ในการค้นหาที่มาที่ไปของข้อมูลต่างๆ

และด้วยเหตุนี้ เราจึงสามารถตรวจสอบจาก Event history ได้ว่า ECS cluster ที่หายไปนั้น หายไปไหน โดยใคร และ เมื่อไหร่?

ข้อควรรู้ : ในปัจจุบันไม่ใช่ข้อมูลAWSทั้งหมดที่จะบันทึกบนcloudtrail รบกวนตรวจสอบข้อมูลเพิ่มเติมเกี่ยวกับeventที่ cloudtrail รองรับได้ที่นี่ AWS service topics for CloudTrail

ก่อนเริ่มใช้งาน cloudtrail

เนื่องจากข้อมูลจะถูกจัดเก็บไว้ในแต่ละ region รบกวนตรวจสอบหน้า management console อีกครั้งว่าเลือกRegionที่จะใช้งานถูกต้องหรือไม่ อย่างเช่น เลือกใช้งานที่ virginia ก็จะไม่แสดงข้อมูลที่สร้างไว้ที่ singapore

หากไม่เห็นข้อมูลที่สร้างไว้ เป็นไปได้ว่าผู้ใช้งานอาจจะอยู่ในRegionอื่น โดยบริการบางส่วน(อย่างเช่น EC2 instance เป็นต้น) นั้นจะแสดงข้อมูลเฉพาะRegionที่สร้างเท่านั้น ซึ่งในการแสดงผลข้อมูลต้องเลือก Region ที่ผู้ใช้งานสร้างก่อนจึงจะดูข้อมูลได้

ลองใช้งาน

เปิดหน้า console ของ cloudtrail และ คลิ้กที่ event history

คลิ้กที่ Read-only แล้วเลือก Event name

พิมพ์ข้อมูล*Event nameที่เกี่ยวข้องกับการลบข้อมูลลงในช่องค้นหา *Event name ของแต่ละบริการสามารถค้นหาได้จาก api reference (ตัวอย่างของECS)

เท่านี้เราก็จะสามารถดูข้อมูลที่หายไปว่า หายไปเมื่อไหร่ และโดยใคร ในกรณีนี้ ECS cluster ได้หายไปโดย user ชื่อ Piyachart ในวันที่ 20 MAY 2022

หลังจากคลิกที่ชื่อ event name แล้ว เรายังสามารถดูรายละเอียดเพิ่มเติมได้ (อย่างเช่น ip address) หรือ ตรวจสอบข้อมูลการใช้งานต่างๆจาก aws cli หรือ management console ได้ในส่วนทางด้านล่างที่เรียกว่า "event record "

เงื่อนไขในการค้นหา event

ในกรณีที่รู้ชื่อResource สามารถค้นหาโดยระบุจาก resource name ได้เลย

หรือแม้กระทั่ง resource name , event name ก็ยังค้นหาได้จากหัวข้อ ”event source”

นอกจากนี้ ยังสามารถค้นหาโดยอ้างอิงจากช่วงเวลาได้อีกด้วย

บทความที่เกี่ยวข้อง

  • What Is AWS CloudTrail?
  • How do I use CloudTrail to review what API calls and actions have occurred in my AWS account?
  • Supported Resource Types
  • EC2インスタンスを消したのは誰?AWS CloudTrailを使って犯人を捜せ!